Четыре причины недооценки кибербезопасности со стороны бизнеса
Главный аналитик Enterprise Strategy Group Джон Олтсик вспоминает, как еще в 2015 году «охранная индустрия положительно восприняла новую мантру: кибербезопасность требует внимания совета директоров» (Chief Security Officer, January 22, 2021). Этот тезис с воодушевлением был встречен деловой прессой, вебинарами, множеством мероприятий в сфере корпоративной безопасности.
Что же изменилось за последние шесть лет?
Enterprise Strategy Group провела исследование, в ходе которого были опрошены 365 предпринимателей и профессионалов кибербезопасности, работающих в компаниях среднего (100 – 999 занятых) и крупного (свыше 1000 занятых) бизнеса в США, Канаде, Германии, Великобритании и Франции.
Опрос показал, что тема кибербезопасности отражается в повестке правления многих компаний. Некоторые корпорации превратили кибербезопасность в важный компонент бизнес миссии, культуры и стратегии.
В то же время цели, провозглашенные в 2015 году, далеки от достижения. Почему?
Олтсик называет 4 причины.
Кибербезопасность по-прежнему рассматривается как преимущественно технологический инструмент
28% респондентов оценивают кибербезопасность как исключительно сферу технологии. 41% считают ее технологическим инструментом с некоторыми бизнес аспектами. 11% (и это тревожно!) исходят из предположения, что кибербезопасность есть не что иное, как предписание регулятора, которому необходимо следовать. Вывод: если на заседаниях правления компаний и обсуждается проблема кибербезопасности, то в основном в категориях уязвимостей открытых программных средств (open software) и числа вскрытых инцидентов. Вместо того, чтобы всерьез рассматривать такие вопросы как защита коммуникаций с клиентами, тщательная и глубокая проверка при найме новых работников, придание устойчивости к киберугрозам критически важных приложений и бизнес процессов. То есть, в повестке - старые темы и немного больше разговоров.
Профессионалы информационной защиты рассматриваются как технологи
Примерно половина опрошенных оставляют руководителям службы кибербезопасности роль специалиста ИТ и только. Их редко приглашают на совещания к первым лицам. А если и приглашают, то главным образом для того, чтобы получить ответы на интересующие правление вопросы. Но не для того, чтобы услышать и обсудить упреждающий анализ в данной сфере.
Кибербезопасность несовместима с принятой в компании культурой
Менее половины респондентов (44%) заявили о том, что топ-менеджеры в их компаниях «очень хорошо» воспринимают и относятся к кибербезопасности. Остальные 56% оценивают отношение как «адекватное, справедливое или плохое». Итак, широко распространенный лозунг «кибербезопасность есть дело каждого работника» на деле работает плохо.
Бизнесмены и управленцы отстраняются от обязанностей, связанных с кибербезопасностью
Только 29% организаций заявили, что топ-менеджеры, не будучи специалистами в цифровых технологиях, тем не менее, выполняют определенные функции, имеющие отношение в информационной защите. В частности, занимаются систематизацией и классификацией корпоративных данных, принимают участие в разработке политики допуска в базы данных, сотрудничают с профессионалами кибербезопасности при планировании бизнеса. По опыту автора статьи многие бизнесмены и управленцы относятся к этим обязанностям формально, для галочки.
Общий вывод: члены правления сегодня более вовлечены в проблемы кибербезопасности, чем шесть лет назад, но по-прежнему придерживаются ментальности «мы и они». «Мы» принимаем решения, а «они» решают задачи технического контроля и латания дыр по мере их обнаружения.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|